Phishing, Reverse tunnel phishing, arnaques à la livraison de colis : comment s’en protéger et même les combattre ?

Le phishing est multiforme : proposition de nouveaux services,  offres promotionnelles, alertes « anxiogènes » invitant l’utilisateur à communiquer « de toute urgence » des données confidentielles pour continuer à bénéficier de certains services (carte vitale, etc.), faux remboursements d’impôts, « arnaques à la livraison de colis » demandant à l’usager de débourser des sommes complémentaires pour non-livraison par exemple… Quelle que soit sa typologie, le phishing utilise de façon majoritaire (hormis les actions de reverse engineering) les SMS et/ou les courriels. Il évolue constamment tant dans le fond que dans sa forme pour contourner les systèmes de protection mis en place par les structures, à l’instar des « reverse tunnel phishing attacks » une nouvelle approche qui, couplée à l’utilisation de « raccourcisseurs » d’URL de type cutt.ly, bitly.com, permet de contourner les solutions développées pour bloquer des campagnes de phishing. Par principe de précaution, quatre règles simples à appliquer par l’usager plutôt que de tomber malencontreusement dans un piège.

A / Ne jamais cliquer sur une URL – raccourcie ou non – qui vous est envoyée par les vecteurs que j’ai évoqués !

B / Traiter tout e-mail ou SMS entrant comme étant  potentiellement malveillant.

C/ Vérifier l’adresse e-mail de l’expéditeur sur les messages entrants avant de répondre.

D/ Vérifier le nom de domaine. Un nom de domaine intégrant le nom de domaine du site émetteur n’est pas le site émetteur :  https://www.ameli.fr/ est différent de https://www.ameli.centre-info.fr

 

Une attitude et des réflexes qui finiront par porter leurs fruits, le temps que les entreprises et organisations finissent par admettre qu’il leur faut renoncer définitivement (faute de retour) à l’usage d’URL dans leurs campagnes et démarchages online. En utilisant et en communiquant de façon récurrente des URL, certes fiables, elles contribuent – qu’elles s’en défaussent ou non – à rendre les opérations de phishing possibles et efficaces. Ce faisant, elles favorisent ainsi des campagnes de phishing qui se font dans un premier temps au détriment de l’usager, mais aussi, dans un second, au détriment de leur image ! Lorsque l’usager se fait escroquer, c’est l’entreprise qui – aussi injuste que cela soit – est la deuxième victime. La nature humaine étant ce qu’elle est, l’usager en voudra presque plus à la structure sur laquelle s’est appuyé l’escroc, qu’à l’escroc lui-même. La raison est fort simple, l’usager qui aura été grugé n’aura d’autres recours que de se tourner vers cette dernière pour tenter d’obtenir un dédommagement.

SMS/COURRIEL / Vers la fin de l’emploi d’URL par les entreprises et les organisations ? 

Si les entreprises, les organisations étatiques (ou non) avaient la sagesse d’en finir une fois pour toutes avec les envois d’adresse URL, pour, a contrario, expliquer les choses, promotions ou autres, et inviter les usagers à se rendre sur leur site officiel, indéniablement le phishing finirait par perdre du terrain, beaucoup de terrain. Au demeurant, ce n’est pas encore le cas. Pour rappel, le gouvernement lui-même, durant la crise COVID, a envoyé des SMS avec URL, une bévue incroyable qui a, dans une période très tendue ouvert grand la porte et des opportunités à toutes les escroqueries. Il aura alors suffi aux escrocs de reprendre « le phrasé » des propos gouvernementaux pour envoyer les usagers, peu observateurs, sur des sites non fiables, avec à la clé toutes les formes d’escroqueries possibles, dont l’usurpation d’identité. L’erreur est humaine, toutefois, comme le souligne un proverbe chinois : « la première fois c’est une erreur, la seconde c’est qu’on le fait exprès. »

Les premières victimes : les plus « dépassées » par les technologies, mais pas que !

Les premières victimes de cette forme d’insouciance – pour ne pas parler d’inconséquence – marketing (envois d’URL) dans une période où les cybers-escroqueries ont quantitativement explosé (durant la période Covid, par exemple, les envois de colis se sont multipliés, ouvrant la porte à nombre de tentatives d’escroqueries) par SMS et courriel. Ces escroqueries ne sont à ce jour, et dans le contexte actuel de crise « globale » pas appelées à décroître ni à être mises en échec si rien n’est entrepris concrètement. Les premières victimes sont naturellement nos anciens… Les plus fragiles sont ceux et celles qui, plongés de force dans un univers technologisé, n’ont pas la chance d’être accompagnés par leurs enfants ou petits-enfants dans un monde qui devient de plus en plus connecté, une ultraconnexion que la crise COVID a fortement accélérée. Toutefois, quelle que soit votre agilité, je vous invite à la modestie et à la prudence. Même les plus aguerris en matière technologique ne sont pas à l’abri d’escroqueries qui s’avèrent de plus en plus élaborées. Si vous en doutez, si vous vous pensez hors de danger et suffisamment au fait de toutes les carabistouilles, je vous invite à faire les tests suivants : Test 1 :  test de phishing proposé par Safeonweb… Test 2 : phishing quizz… 

Après ces tests, vous admettrez, j’en suis certain, que nul n’est à l’abri. Fort de ce constat, il convient de trouver des parades pour protéger l’ensemble de la population.

Marginaliser le phishing, entraver  les arnaques… petit pas à petit pas, c’est possible.

Marginaliser le phishing, l’entraver fortement, une utopie ? Tant s’en faut, cela pourrait être possible, à défaut d’être simple. La mesure que je suggère pourrait déjà être suivie par les entreprises et organismes implantés sur le territoire national et ayant des clients et interlocuteurs français. Il « suffirait » qu’organismes d’Etat, et autres, entreprises, – déjà sur le territoire national -, se mettent d’accord une bonne fois pour toutes sur une approche en capacité d’altérer l’efficacité des techniques usuelles des escrocs, à savoir l’envoi des cibles sur des sites « copycat », afin de récupérer des données sensibles, ou de tenter des extorsions de fonds ! Une approche qui, si elle est ensuite publicisée, portera un coup aux opérations de phishing, et autres types d’attaques (attaques randsomware par exemple) ciblant les usagers français. Ainsi la première des actions qui pourraient être initiée par les entreprises et organismes d’Etat (ou non) : s’interdire d’envoyer des URL via courriel ou SMS. Et publiciser cette posture ! Si cette dernière était adoptée, cela érigerait une première barrière extrêmement forte contre ce type d’attaque. Le temps que cela advienne, si tant est que cette idée fasse son chemin et soit éventuellement retenue, concomitamment, le gouvernement serait fort inspiré d’engager des campagnes de communications décortiquant et explicitant les techniques d’escroquerie les plus usuelles. Des campagnes qui viendraient appuyer les campagnes d’informations online, pour ce qui concerne le phishing, déjà misent en place par leur site par les structures les plus sujettes à ce type d’attaques, banques, assurances, organismes de santé… De la pédagogie, encore de la pédagogie, toujours de la pédagogie.

Vingt millions pour protéger les données de santé… QUI ?  QUOI ? COMMENT ? QUAND ?

À la suite de la cyberattaque à l’hôpital de Corbeil-Essonnes, le ministre de la Santé et de la prévention de l’époque, François Braun, qui s’est rendu sur site le 26 aout 2022 a évoqué le déblocage d’un budget de vingt millions d’euros afin de sécuriser les données de santé des Français, déclarant en outre que « la santé des Français ne sera pas prise en otage ». Des mots et une enveloppe budgétaire, dans une dynamique usuelle action/réaction une nouvelle fois budgétaire supposée montrer une volonté politique inflexible. Que dire ? La communication c’est bien, plus de clarté aurait été bienvenue. Par-delà le chiffre avancé, il n’a été donné aucun détail sur les mesures qui seront prise. Même si le nouveau ministre du numérique a évoqué un « parcours de sécurisation » sans plus de détail. La somme étonne : 20 millions, très bien. Pourquoi pas 30, pourquoi pas 40 ? Dès lors que ces allocations nouvelles sont avancées, d’où sort ce chiffre ? Et surtout pour quoi faire ? Cela doit interroger et ce d’autant plus que ces 20 millions supplémentaires viennent s’ajouter au 18 millions d’euros déjà dédiés au plan de sécurisation des hôpitaux (issus du plan de relance .)  Dans ce cadre, 130 hôpitaux avaient commencé les démarches avec l’Agence nationale de sécurité des systèmes d’information (Anssi). Comme le note Florian Dèbes, journaliste aux Echos, l’ironie de l’histoire est que « l’hôpital de Corbeil-Essonnes, baptisé Centre hospitalier sud-francilien (CHSF) venait de terminer, dans ce cadre, un diagnostic de sécurité et s’apprêtait à passer aux travaux pratiques au mois de septembre. » Que dire ? Outre l’effet d’annonce à vocation de montrer une mobilisation sans faille, un grand flou, entoure cette nouvelle dotation qui ne répond pas, à ce jour à quatre questions simples, restées sans réponses, puisqu’elles n’ont pas même (sauf erreur) étaient posées : POUR QUI ? / POUR  QUOI ? / COMMENT ? QUAND ? / ! Et lorsque l’on parle de la « santé des Français qui ne sera pas pris en otage » il m’aurait paru nécessaire d’intégrer dans cette déclaration, et de façon précise, les actions envisagées pour que ces derniers, en première ligne comme je l’ai déjà évoqué (cf. 2022-2023 : données de santé, cible n°1 des escrocs et des black hat !) soient à même de se protéger.  

À défaut de préciser clairement l’usage de cette dotation (nouveaux acteurs concernés ? formations accrues ? Autres ?), n’aurait-il pas été opportun d’annoncer en priorité, que soit intégrée dans ce budget une grande campagne de communication nationale vers les usagers qui sont, sur les données de santé entre autres, désormais en front line, et sont les premières cibles. Outre les sites sensibles, il est utile de ne cesser de rappeler que les usagers qui ont été « datazerisés » à l’envi durant la crise covid sont devenus ipso facto les premiers acteurs de leur propre sécurité. Cela n’aurait certes pas tout expliqué, mais cela aurait évité à cette annonce financière tonitruante de passer une nouvelle fois – à tort ou à raison – pour un simple effet d’annonce et une action de communication vide de contenu.

 

To be continued.